[发明专利]基于云安全的恶意程序查杀的方法、装置和服务器

说明书

技术领域

本发明涉及计算机安全领域，具体涉及一种基于云安全的恶意程序查杀的方法、装置和服务器。

背景技术

随着计算机的普及，用户端基本上都需要安装杀毒软件对计算机内的文件进行扫描。在杀毒软件进行扫描时，需要大量的CPU运算和磁盘操作，使得扫描过程漫长而且影响系统速度。而对于计算机里的文件，有很多文件都是相同的，比如Windows的文件，很多软件的安装包文件，帮助文件，压缩文件等。

传统的查杀恶意程序的技术方案为基于特征码的查杀方式。该查杀方式主要依赖于特征库模式。特征库由厂商收集到的恶意程序样本的特征码组成，特征码是分析工程师从恶意程序中分析得出的恶意程序与安全程序的区别特征，例如，该特征码可以为截取的一段类似于“搜索关键词”的程序代码。当进行恶意程序判定时，读取文件，并将读取的文件与特征库中的特征码进行匹配，如果发现文件程序代码被命中，则判定该文件程序为恶意程序。

但是，现今全球恶意程序数量呈几何级增长，基于这种爆发式的增速，特征库的生成往往滞后与网络中恶意程序的增长。

现有技术中，当出现新的恶意程序后，需要对新的恶意程序样本进行分析，根据分析结果对各个终端的查杀引擎进行版本更新，该更新过程消耗时间较长，恶意程序容易利用该更新时长进行扩散。

此外，现有技术中当判定文件为恶意程序后，对恶意程序的查杀，例如清除等操作，由终端本地的查杀引擎进行，该查杀操作通常为通用操作，对处理的文件没有针对性，会因为查杀操作错误，而造成查杀后终端中系统或应用无法正常工作。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的查杀恶意程序的方法、装置和服务器。

依据本发明的一个方面，提供了一种基于云安全的恶意程序查杀的方法，所述方法包括：

启动扫描任务，对待扫描的对象执行扫描操作；

计算扫描的文件的索引标识，将索引标识发送给服务器，接收服务器返回的依据索引标识所查找到的与扫描的文件相对应的脚本；

执行接收的脚本对扫描的文件进行查杀。

其中，所述启动扫描任务，对待扫描的对象执行扫描操作后还包括：

从服务器下载用于对文件进行查杀的通用规则；

将扫描的文件与通用规则进行匹配，确定扫描的文件所对应的通用规则中的查杀操作；

所述执行接收的脚本对扫描的文件进行查杀具体包括：

当没有从服务器接收到与扫描的文件相对应的脚本时，按确定的扫描的文件所对应的通用规则中的查杀操作对扫描文件进行查杀。

其中，所述计算扫描的文件的索引标识具体包括：

计算扫描的文件的全文和/或签名的加密值，以所述加密值为索引标识。

其中，所述执行接收的脚本对扫描的文件进行查杀具体包括：

接收到脚本后，确定扫描的文件为被感染的文件；

执行接收的脚本，根据扫描的文件的路径判断扫描的文件是否为系统文件或应用文件，如果是，则对扫描的文件进行修复，否则，删除扫描的文件。

其中，所述对扫描的文件进行修复具体包括：

确定扫描的文件的感染的病毒的类型，根据感染的病毒的类型确定对扫描的文件进行修复的方式，所述方式包括：修复系统文件，修复应用文件，清除对函数调用的拦截，恢复硬盘主引导记录，或清理壳代码。

其中，所述从服务器下载用于对文件进行查杀的通用规则具体包括：

通过服务器认证后，从服务器下载通用规则。

其中，所述通用规则包括：匹配特征和对应的查杀操作；

所述匹配特征包括：文件中信息的特征和文件所执行的操作特征。

根据本发明的另一方面，提供了一种基于云安全的恶意程序查杀的装置，所述装置包括：

通信单元，适于向服务器发送信息，以及接收服务器返回的信息；

扫描单元，适于启动扫描任务，对待扫描的对象执行扫描操作，计算扫描的文件的索引标识，通过通信单元将索引标识发送给服务器，接收服务器返回的依据索引标识所查找到的与扫描的文件相对应的脚本；

查杀单元，适于执行接收的脚本对扫描的文件进行查杀。

其中，所述扫描单元，还适于通过通信单元从服务器下载用于对文件进行查杀的通用规则；将扫描的文件与通用规则进行匹配，确定扫描的文件所对应的通用规则中的查杀操作；